Продажа базы данных клиентов

Фото: Алена Марченко

Содержание

Если вам начали часто названивать с предложениями взять кредит в сомнительном учреждении, попробовать косметические процедуры по акции и т.п., то есть повод задуматься, а не оказались ли ваши данные проданы в третьи руки.

На специализированных форумах и просто при обычном поиске в интернете можно наткнуться на массу объявлений по покупке и продаже баз данных клиентов различных организаций — чаще всего это банки и госучреждения, встречаются также базы телефонных и интернет-компаний, финансовых учреждений и небольших частных фирм. «ДП» рассказывает о том, как продают личную информацию людей, кто ее покупает и сколько это стоит, а также почему от этого до сих пор практически невозможно защититься.

В России планируют создать базу данных «друзей хакеров»

В России планируют создать базу данных «друзей хакеров»

318 В России планируют создать базу данных «друзей хакеров» Информационные технологии (IT) 318

Побочный продукт

Чаще всего в такие базы входят ФИО клиента, его номер телефона и e-mail. Иногда также туда может входить какая-то более подробная информация, например данные о том, на какие цели человек брал кредит в банке, на какую сумму, кем он работает и т.п. Если в руках злоумышленников оказываются данные госучреждения, то туда уже могут входить и более серьезные сведения: фрагменты серии и номеров документов, данные о водительских правах и т.д.

Специалисты в области киберзащиты отмечают, что очень часто базы данных клиентов оказываются у злоумышленников как побочный продукт. Например, основной целью киберпреступника было получение денег или взлом какой-либо системы, но при этом в его руках оказывается еще и информация с данными людей. В таком случае их также выставляют на продажу.

«Базы данных могут попадать в руки злоумышленников самыми разными путями. Это может быть использование вредоносного программного обеспечения или целевая атака на компанию, оплошность или умысел сотрудников, ошибки при конфигурировании систем защиты, настройки серверов и т.д., приводящие к тому, что данные оказываются в свободном доступе. Бывает и так, например, что интернет-магазин прекращает существовать, а база данных его клиентов попадает в третьи руки», — рассказывает Александр Вураско, представитель компании Dr. Web.

По словам замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина, ущерб российской финансовой сферы из-за атак киберпреступников за вторую половину 2017-го и первую половину 2018 года составил 2,96 млрд рублей.

Реклама

«В России в результате кибератак ежемесячно теряют деньги один-два банка, ущерб от одного успешного хищения составляет в среднем $2 млн. Не исключено, что, проникнув в сеть, злоумышленники могут копировать различные документы, базы данных, письма — такое случалось, и эти данные им были нужны для подготовки дальнейших атак или перепродажи», — указывает он.

Dark Nation. Как изменилась экономика Черной сети спустя год после закрытия RAMP Интернет

Dark Nation. Как изменилась экономика Черной сети спустя год после закрытия RAMP

41546

Представитель Dr. Web Александр Вураско считает, что защититься от утечек достаточно сложно. Лучший способ — это дозирование предоставляемых о себе сведений. Например, использование отдельного номера телефона, адреса электронной почты и банковской карты для заказа в интернет-магазинах. В любом случае, передавая такие данные третьим лицам, вы фактически доверяете им безопасность этих данных, но вот проконтролировать то, как они будут использованы, вы не можете.

Также бывает, что среди правдоподобной информации встречается и ложная. Поэтому зачастую продавцы стараются уверить клиентов в «первоклассном качестве» и «самых свежих сведениях».

«Базы данных, с которыми мне приходилось сталкиваться в сети, выглядят правдоподобно. Нередко они бывают достаточно старыми, но попадаются и свежие образцы. Оценить процент ложной информации не представляется возможным, но в сети, в том числе и в Даркнете, встречаются мошенники, размещающие объявления о продаже таких баз и получающие предоплату от покупателей, ничего им не предоставляя взамен. Эта схема удобна тем, что жертва, скорее всего, не будет обращаться в полицию», — подтверждает Александр Вураско.

Новогодние скидки для клиентов

Каналы распространения таких данных тоже варьируются от обычных форумов сетевых мошенников до торговых площадок в Даркнете.

«Покупают их те, кто знает, как их использовать для достижения конкретных целей. Спамеры, люди, желающие атаковать организацию или ее клиентов, те, кто занимается поиском людей в сети, анализом их коммуникаций и т.д. Можно придумать массу сценариев», — считает представитель Dr. Web.

Реклама

Стоимость покупки такой базы также вариативна. Во многом она зависит от того, чья это база (данные банков и крупных организаций стоят гораздо дороже), насколько сложно было ее заполучить, насколько она свежая и уникальная.

В ходе изучения предложений по продаже «ДП» находил и расценки по 3-4 тыс. рублей (с учетом «новогодних скидок», без скидок средняя цена составляет уже 8-10 тыс. рублей), так и по 30 тыс. и 60 тыс. рублей.

На одном из сайтов, который предлагает купить подобные базы, также предлагается скачать демоверсию файлов. «ДП» ознакомился с примером такой базы, которая представляла собой данные вкладчиков банка ВТБ24 с 2013 по 2015 год. В базе помимо ФИО клиентов, номеров их мобильных и домашних телефонов также были указаны город проживания (в некоторых случаях вплоть до станции метро либо городского района), пол, возраст, дата открытия вклада и дата его последнего пополнения, сумма открытого счета и мобильный оператор, у которого зарегистрирован номер владельца.

Корреспондент «ДП» позвонил наугад 10 людям из демоверсии базы, из них три номера оказались отключены, остальные клиенты взяли трубку. Все из них подтвердили, что их ФИО совпадают с данными из базы. Один человек отказался рассказывать, являлся ли он клиентом банка с 2013 по 2015 год. Двое сказали, что не помнят точно, но, возможно, являлись клиентами и имели там счет. Еще один человек ответил категорически отрицательно на вопрос о том, открывал ли он счет в конкретном банке. Остальные три человека подтвердили, что являлись вкладчиками в указанные годы.

Как продаются базы данных, и кто их сливает

Некоторые продавцы на специальных хакерских форумах вместе с объявлением о продаже сразу оставляют контакты для связи в Telegram или через Xabber (довольно популярный среди пользователей Даркнета мессенджер). Также довольно часто встречается просьба переводить оплату через гарант сделок — то есть сторонний сервис или человека-посредника, который принимает участие в процедуре покупки и продажи в интернете. Гарант получает товар и деньги, убеждается в качестве товара и наличии нужной суммы, а после передает деньги продавцу и товар покупателю. За это он получает процент от сделки. По словам главы агентства «Рустелеком» Юрия Брюквина, операция по таким сделкам проводится через биткоин-кошелек. Наибольший процент переводов проходит через криптовалюту, но тем не менее часто используются и обычные анонимные кошельки, поддерживающие настоящую валюту.

«Самый большой канал распространения баз на продажу, конечно же, приходится на Дарквеб, где по этому направлению сформировался отдельный рынок, на котором есть даже свои авторитетные персоны и продавцы. Рынок этот огромный, а доходы продавцов достигают миллиардов рублей», — рассказал Брюквин.

В прошлом году «Рустелеком» подробно занимался темой изучения Дарквеба. В результате исследования удалось выяснить, что также существует услуга добычи базы клиентов на заказ. Сами базы монетизируются двумя способами — через шантаж организации, а также через так называемые лиды — особый вид уникальной информации, которая чаще всего содержит какие-либо финансовые данные (сумма счета, его номер и т.п.).

Корреспондент «ДП» связался с несколькими продавцами баз. Лишь двое из них согласились поговорить с изданием на условиях анонимности.

Например, один из продавцов, который предлагал приобрести базу с личными данными директоров туристических компаний России и СНГ за 16 тыс. рублей (по рублю за контакт), рассказал, что в среднем покупатели данных появляются регулярно раз в неделю.

«Чаще всего в продажу поступают контактные данные руководящих лиц. Клиентами в основном являются представители небольших бизнесов, которые используют информацию для работы в своей сфере. При этом источников сливов данных и заинтересованных лиц довольно много. Каждый ищет базу под свои нужды, поэтому вряд ли можно говорить о высокой конкуренции среди покупателей и продавцов», — рассказал он.

Среднюю сумму сделок и объем месячной выручки за продажу информации он сообщать не стал.

Еще один человек, предлагавший купить на форуме базу клиентов крупнейшего украинского ПриватБанка, представился обычным контактным звеном, который принимает покупателей, а затем отсылает их к «селу» (продавцу). При этом прямых продаж у него никогда не было, поэтому о расценках он сообщить не может.

«У меня много баз. У ПриватБанка на 700 тыс. клиентов и есть на 3 млн клиентов. Я всего-навсего посредник, есть люди, которые добывают данные», — рассказал он.

Более подробные сведения он сообщать отказался.

«В России базы данных клиентов часто «утекают» в результате действий инсайдеров, то есть самих операторов данных. В первую очередь речь идет о людях, которые работают с данными, — администраторы баз данных, операционисты. Из-за низкой оплаты труда этих людей злоумышленники могут подкупить их для кражи данных. Базу клиентов могут слить те, кто имеет к ней доступ, например менеджеры по продажам или ИТ-специалисты. В нашей практике были случаи расследования сговора внутри компании, когда уходящая целым составом команда ИТ-специалистов продавала данные о бывшем работодателе киберпреступникам», — рассказал «ДП» Сергей Никитин из Group-IB.

На международной сцене, по данным компании, хакерские атаки регулярно совершаются на сети отелей, представителей ретейла, авиакомпании, онлайн-сервисы, в результате которых происходит копирование баз данных клиентов. Причем жертвами становятся весьма крупные и известные компании, такие как Uber, British Airways, Marriott.

По словам Юрия Брюквина, покупателями баз часто являются финансовые брокеры или представители финансовых организаций, которые хотят привлечь к себе клиентов конкурентов.

«Получая такую базу, вы уже сразу знаете, что предложить человеку. Например, кредит на более выгодных условиях, чем у него есть сейчас», — объяснил он.

«Банк не виноват»

Банки и компании используют самые разные способы защиты, указывает Вураско. Это и антивирусные решения, затрудняющие проведение атак на банки, и DLP-системы, предназначенные для защиты от утечек информации, и автоматизированные антифрод-продукты, нацеленные на предотвращение мошеннических операций. Конкретная конфигурация системы информационной безопасности и поставщики применяемых решений могут сильно варьироваться от организации к организации. Здесь немаловажную роль играют и такие факторы, как бюджет на безопасность, количество сотрудников, особенности инфраструктуры и т.д. Сергей Никитин к этому списку добавляет также обучение сотрудников цифровой гигиене и мероприятия по повышению корпоративной культуры. Но, даже несмотря на наличие огромного количества высококлассных и защитных антивирусных решений, защититься все же от всех атак и утечек невозможно.

«Нужно понимать, что чаще всего банки не виноваты в утечке данных клиентов. Проблема в дырявой защите различных платежных систем. Существует огромное количество интернет-магазинов, которые создают сайты «на коленке» и совсем не заботятся о сохранности данных пользователей. Злоумышленникам ничего не стоит получить к ним доступ. Затем такая информация коллекционируется от сайта к сайту и сортируется по банкам. Так создается база», — объясняет Юрий Брюквин.

При этом, если банк или какое-либо учреждение, несмотря на все меры защиты, допустит утечку, никто не снимет с него ответственности по закону.

«Данные о клиентах зачастую являются информацией, которая позволяет идентифицировать физических лиц. На лице, которое собирает, хранит или иным образом обрабатывает такие данные, лежит обязанность соблюдать установленные законом о персональных данных требования к такой обработке, в частности соблюдать режим конфиденциальности, получать согласие обладателя персональных данных на передачу данных третьим лицам. Право на конфиденциальность персональных данных является важнейшим правом субъекта персональных данных. За нарушение правил обработки персональных данных предусмотрена административная ответственность», — объяснила юрист Екатерина Смирнова, руководитель практики по интеллектуальной собственности и информационным технологиям компании «Качкин и партнеры».

Кстати, самые яркие скандалы уходящего года были как раз во многом связаны с утечкой баз данных или использованием их третьими лицами. Например, громкий случай произошел весной этого года, когда выяснилось, что базы данных Facebook использовала компания Cambridge Analytica для анализа политических предпочтений пользователей и использования их в президентских выборах.

«Вопрос использования данных был подробно рассмотрен в нашумевшем споре между администрацией социальной сети «ВКонтакте» и обществом с ограниченной ответственностью «ДАБЛ». «ВКонтакте» обратилось в суд с иском к «ДАБЛ» о запрете использования данных пользователей в социальной сети. «ДАБЛ» обрабатывало открытые данные пользователей социальной сети и использовало их для оценки кредитоспособности пользователей как потенциальных заемщиков. Как в первой, так и в апелляционной инстанции суд признал, что социальная сеть «ВКонтакте» содержит в себе базу данных, право на которую может охраняться в соответствии со ст. 1260 ГК РФ. Сейчас дело направлено на новое рассмотрение», — рассказала Екатерина Смирнова.

Также юрист указала, что даже в случае ликвидации компании никто не снимет законную ответственность за утечку информации. По закону до завершения ликвидации руководство компании обязано уничтожить и обезличить базы данных клиентов. Если такую процедуру не осуществят, то теоретически к ответственности могут привлечь ликвидатора компании.

Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter

Харьковский районный суд признал виновным 38-летнего жителя города в похищении и продаже клиентской базы данных почтового оператора и присудил 3 года лишения свободы с испытательным сроком в виде трех лет. Об этом сообщает Департамент киберполиции Национальной полиции на своей странице в Facebook.

Как выяснили в ведомстве, бывший оператор предприятия пытался продать информацию, которая содержала персональные данные клиентов одного из украинских почтовых предприятий.

Подпишитесь на канал DELO.UA

«Суд признал подозреваемого виновным и назначил наказание в виде лишения свободы на три года с испытательным сроком в виде двух лет», — отмечают в киберполиции.

Оперативниками было установлено, что бывший сотрудник одного из отделений предприятия осуществлял неоднократное вмешательство в работу компьютеров и проникал в клиентскую базу. Доступа к базе после увольнения он не имел, однако имел доступ к закрытой группе компании в одной из запрещенных в Украине соцсетей («Вконтакте» или «Одноклассники» — ред.).

«В дальнейшем для доступа к клиентской базе данных он использовал логин и пароль другого сотрудника, который злоумышленник получил в соцсети», — отмечают правоохранители.

Объявление о продаже информации злоумышленник размещал в той же соцсети, все транзакции по купле-продаже происходили с использованием электронного кошелька. Покупатель получал запрашиваемую информацию по электронной почте.

Всего полицейские задокументировали 23 факта купли-продажи.

ЧИТАТЬ ТАКЖЕ: Утечка личных данных: чем это угрожает «Новой почте» и ее клиентам

О какой именно компании идет речь в сообщении киберполиции не упоминается, однако в начале февраля в украинском медиапространстве начала активно распространяться информация об утечке в Даркнет базы данных крупнейшего частного почтового оператора страны — «Новой почты». Все украинские СМИ, разместившие об этом информацию, ссылались на пост в Facebook Егора Папышева, позиционирующего себя консультантом по кибербезопасности. «Сегодня обнаружен факт продажи неустановленными лицами базы данных клиентов «Новая почта». Как таковых баз две: первая содержит информацию порядка полумиллиона человек с персональными данными в разбивке ФИО/телефон/город/серия и номер паспорта/email. Вторая — 18 миллионов записей, но с меньшей детализацией (только ФИО и телефон)», — написал тогда Папышев на своей странице.

В «Новой почте» официально эту информацию отрицали, однако источники Delo.UA в компании рассказали о том, что ранее внутри компании появилось сообщение о необходимости «принять меры безопасности в обращении с информацией в связи с крупной утечкой баз данных». По данным источников, в данном деле были замешаны двое людей, оба из Харькова. Один из них передал пароль от базы данных, а второй занимался копированием и распространением информации.

Delo.UA направило повторный запрос в «Новую почту» и там рассказали, что информация обнародованная департаментом киберполиции касается случая, произошедшего еще в 2016 году. «Представители ООО «Новая почта» активно сотрудничали с полицией, предоставляли необходимую информацию, результатом чего стало выявление злоумышленника и вынесения ему приговора», — отметили в пресс-службе компании.

В то же время «Новая почта» утверждает, что на сегодняшний день нет подтверждений, что в начале февраля текущего года в сеть попала база данных именно «Новой почты».

Ответы на 10 самых задаваемых вопросов:

1. Чем мы отличаемся от других поставщиков?

• Более 6 лет в сфере клиентских баз
• 35 000 000+ актуальных контактов по всему СНГ
• Дополнительная фильтрация данных (удаление дублей, номеров по не целевым регионам и телефонов с ошибкой)
• Бесплатная замена недействительных контактов
• Формирование базы за 15 минут.

2. Какая база контактов Вам подходит?

Поймите, кто является Вашими потенциальными клиентами — юридические лица (B2B) или физические лица (B2C).
Определитесь с необходимыми фильтрами (для базы юридических лиц доступен фильтр по регионам, отраслям, дате регистрации и др., для базы физ лиц — фильтр по полу, возрасту, доходу и др.).
Определитесь с каналом связи, через который Вы будете продвигать свой продукт или услугу — телефонный звонок, SMS, сообщение в мессенджере или E-mail рассылка.
Зная точную информацию о Вашей ЦА менеджер предложит максимально подходящую Вам базу контактов!

3. Какие фильтры доступны при формировании клиентской базы?

Для базы данных организаций доступна фильтрация по региону, виду деятельности, дате регистрации компании, ОКВЭД, наличию E-mail, наличию сайта, годовому обороту компании, количеству сотрудников, информации о импорте и экспорте, информации о участии и победах в торгах и др.
Для базы физ лиц доступна фильтрация по региону, полу, возрасту, метро (району), наличию детей, наличию автомобиля, уровню дохода, дате рождения и др.

4. 3 способа проверки телефонной базы

• Выполните тестовый прозвон контактов
• Скопируйте номер телефона в поисковую строку Яндекса и ознакомьтесь с доступной информацией по номеру
• Посетите сайт организации и сверьте контактные данные с информацией в нашей базе.

5. 3 способа проверки базы email

• Перейдите на сайт https://www.bravica.net/ru//net-email.html и поочередно проверьте 5-10 E-mail адресов из базы на существование (бесплатно)

• Воспользуйтесь on-line валидаторами E-mail адресов (платно)
• Посетите сайт организации и сверьте контактные данные с информацией в нашей базе.

6. В каком формате предоставляются базы данных?

Основной формат предоставления БД — MS Excel.
При необходимости мы предоставим Вам информацию в любом удобном формате — CSV, Cronos, TXT, Google Docs и др.

7. Подойдёт ли база для Вашей CRM или сервисов рассылки?

Базы легко импортируются в любую существующую CRM и во все доступные сервисы E-mail рассылки
При возникновении сложностей мы бесплатно «подгоним» формат базы под требования Вашего сервиса или импортируем базу в Вашу систему «под ключ» (для клиентов — бесплатно).

8. Какие есть способы оплаты?

Оплата: Сбербанк онлайн, Visa, Mastercard, Приват24, PayPal, Qiwi, Webmoney, Яндекс деньги, безналичный перевод на р/с

9. Через сколько после оплаты Вы получите сформированный файл?

В зависимости от сложности и объема приобретённой базы, время формирования и отправки готового файла от 15 минут до 60 минут.

10. Какие гарантии мы предоставляем?

• Предоставляем бесплатный образец для проверки качества контактов
• Возможен прямой перевод средств на карту Сбербанка или расчётный счёт нашей компании (избегая электронных денег, кошельков и криптовалют)
• Первые упоминания о нашей деятельности в интернете в 2013 году. Все это время мы стараемся полностью выполнять обязательства перед клиентами!

Рубрика объявления: Бытовая техника и электроника в России в Москве \ Компьютеры, оргтехника \ Приставки, игры и программы \ Базы данных

Предыдущее объявление
База поставщиков одежды,обуви и др товаров
В каталог Следующее объявлениеГотовая база поставщиков для Интернет-Магазина

Продаю клиентскую базу телефонных номеров, в базе номера телефонов женщин и мужчин. Москвы и МО. В наличии есть от 300000 и более контактов. Для холодного обзвона/смс рассылок Только в одни руки Валидность базы 80-95% База в формате имя (ФИО), телефон, город, область Закрытые источники. База 2014-2015 года! Цена договорная. Для начала нашего сотрудничества я могу предоставить от 500 тестовых номеров выбранной Вами базы абсолютно бесплатно. Далее, если Вас все утраивает мы с вами обсуждаем размер базы и критерии. По всем вопросам пишите на почту.

Похожие бесплатные объявления на сайте:

Объявление база кредитных доноров Доброе время суток.В наличии имеется приличная база кредитных доноров и частных заимодателей.Если срочно необходимы денежные средства,прошу обращаться…
Объявление одежда из Украины в розницу Надоело переплачивать интернет магазинам?😰 Хотите заказывать напрямую без посредников ? Или решили создать свой интернет магазин?? Тогда БАЗА …
База email адресов фирм и частных лиц России. Количество адресов в базе — 2 937 000. База постоянно обновляется и дополняется в объёме. Имеются в нали…
Объявление промышленные базы продажа Предлагаем Базу данных E-mail-адресов предприятий в сфере Металлы(Цветной, нержавеющий, черный-производство, обработка, продажа, снабжение)/Промышленн…

Менеджер по продажам крупного магазина электронной торговли пытался продать базу данных клиентов. Однако ему не удалось осуществить мошенническую деятельность, так как покупатель был подставным лицом. Правоохранительные органы задержали преступника с поличным. Об этом сообщает Infowatch.
По данным правоохранительных органов, мужчина, работающий в качестве менеджера по продажам в магазине электронной торговли, намеревался продать флэш-накопитель с базой данных клиентов за 200 тыс. рублей. Базу данных ему предоставил web-мастер, который также работал в этом интернет-магазине. Мошенники знали, что база данных клиентов будет использоваться для рассылки спама. Покупателем оказался сотрудник аудиторской компании, который действовал под контролем оперативников.
По мнению экспертов, флэш-накопитель содержал коммерческую тайну. Распространение такой информации запрещено по торговому договору. На этом основании представители Новгородских правоохранительных органов возбудили против злоумышленников уголовное дело по части 3 статьи 183 УК РФ «Незаконное разглашение сведений, составляющих коммерческую тайну».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *